Datenschutz meets IT: Verschlüsseln Sie schon oder hoffen Sie noch?

Nicht zuletzt soll das Datenschutzniveau in der Schweiz auf einem hohen Level gehalten werden, um einen weiteren und unkomplizierten Datenaustausch mit der EU aufrechtzuerhalten. Um den Datenschutz in der Praxis nachhaltig umzusetzen, ist ein guter Austausch zwischen den verantwortlichen Personen für den Datenschutz und der IT sehr wichtig, dies zeigt sich auch im Gesetz. So heisst es im Art. 8 des revidierten DSG, der den knappen Titel «Datensicherheit» trägt: «Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.»

Zu den technischen Massnahmen zählt beispielsweise auch die Verschlüsselung von Daten, mit deren Hilfe Personendaten und besonders schützenswerte Personendaten effektiv geschützt werden können, vorausgesetzt eine Verschlüsselungslösung ist implementiert und aktiv. An zwei Beispielen aus dem täglichen Gebrauch soll dies näher erläutert werden. 

Was ist eine Verschlüsselung? 
Die Verschlüsselung, die auch Kryptographie genannt wird, beschreibt im Grunde einen Umwandlungsvorgang von Daten. Daten die im Klartext gelesen und verstanden werden, werden durch eine Umänderung in eine Chiffre verwandelt, die zwar noch gelesen, aber deren Inhalt nicht mehr verstanden werden kann. Um die Daten wieder lesbar zu machen, müssen sie entschlüsselt werden. So wird beispielsweise aus «TREUHAND|SUISSE» die Chiffre «HJ23KL%?ZB56NN!». Werden diese verschlüsselten Daten nun durch einen unbefugten Dritten abgefangen oder entwendet, so bleibt deren eigentlicher Inhalt trotzdem geschützt, da der Dritte nicht über den passenden Schlüssel für die Entschlüsselung verfügt. Die Daten sind für den Dritten schlicht unbrauchbar. 

Die Verschlüsselung verfolgt somit das Ziel die Vertraulichkeit, die Integrität und die Authentizität von Daten zu gewährleisten, wobei es im Detail verschiedene Arten von Verschlüsselungsverfahren gibt.

Verschlüsselung von E-Mails 
E-Mails sind aus dem geschäftlichen Alltag nicht mehr wegzudenken. Da schickt der Kunde noch schnell den letzten Lohnausweis als E-Mail-Anhang an seinen Treuhänder oder die Sachbearbeiterin hat noch schnell eine Rückfrage zu einer Rechnung eines medizinischen Leistungserbringers, um die Steuererklärung zu finalisieren – zack, E-Mail geschrieben, Anhang dran und auf «Senden» gedrückt. Ziemlich einfach und aus Datenschutzsicht ziemlich heikel. 

Den Wenigsten ist bewusst, dass die normale E-Mail nicht geschützt ist und sich nicht zum Versenden von Personendaten oder anderen sensitiven Informationen eignet. Sie sind wie Postkarten zu verstehen. Werden sie abgefangen, kann man sehr einfach ihren Inhalt lesen – deshalb sollten E-Mails immer verschlüsselt versendet werden. Treuhänder sind hier gut beraten eine entsprechende Lösung zu implementieren und ihre Kunden entsprechend zu sensibilisieren. 

Wichtig ist dabei zwischen einer E-Mailsignatur und einer Verschlüsselungslösung zu unterscheiden, denn häufig werden diese Begriffe fälschlicherweise synonym verwendet. Die Signierung stellt dabei aber nur sicher, dass die Nachricht auch wirklich vom genannten Versender stammt – durch eine Signierung erfolgt keine Verschlüsselung, sodass der Inhalt der Nachricht weiterhin lesbar bleibt. Die Verschlüsselung hingegen gewährleistet, dass eine E-Mail nicht im Klartext versendet wird. 

Verschlüsselung von Clouds
Auch das Arbeiten «in der Wolke» gehört mittlerweile zum Alltag. Das Bereitstellen von Anwendungen, Umgebungen, Rechenleistung, Netzwerken oder Speicherplatz als standardisierten und automatisierten Service, der bei Bedarf abgerufen und nach einem nutzungsabhängigen Modell verrechnet wird, ist einfach so schön einfach. Zu dem entfällt das kostenintensive Bereitstellen, Installieren und Betreiben von eigenen Systemen.

Aber auch die Cloud ist möglichen Angriffen ausgesetzt – zum einen können sich unbefugte Dritte einen Zugriff auf die Cloud verschaffen, zum anderen geht auch ein Risiko vom Cloudanbieter selbst aus, was vielen nicht bewusst ist.

Die Cloudanbieter werben vielfach mit «Verschlüsselung» und «Ihre Daten sind sicher» – klingt erstmal richtig gut. Abhängig von der Lösung hat aber häufig der Cloudanbieter selbst einen Schlüssel, sodass dieser auf die Daten in der Cloud durch Entschlüsselung zugreifen kann. Hier eignet sich schön die Metapher vom verschlossenen Tagebuch – dieses geben Sie einem Fremden (dem Cloudanbieter), damit er es sicher verwahrt. Tatsächlich überreichen Sie aber das Tagebuch mit dem passenden Schlüssel. Sind Sie sich jetzt noch sicher, dass die Daten im Tagebuch wirklich geschützt sind? Na? Komisches Gefühl dabei? Richtig. Auch hier kann eine eigene Verschlüsselungslösung, bei der nur Sie den Schlüssel haben, helfen.    

Mit der Verschlüsselung von Personendaten kann sowohl beim Versenden von E-Mails als auch bei der Nutzung von Cloud-Lösungen das Risiko minimieren werden, das Personendaten und andere sensitive Informationen an unbefugte Dritte gelangen.

Checkliste 

Trifft ein Unternehmen den Entscheid seine Daten zu verschlüsseln, so hat es sich mit den folgenden Fragen auseinanderzusetzen:

1.    Kenne ich meinen Datenbestand und welche Art von Daten sind darin gespeichert?
2.    Unterstehe ich besonderen gesetzlichen Regelungen, z. B. DSG?
3.    Welche Daten in meinem Datenbestand sind sensitiv?
4.    Welchem Bedrohungspotential sind diese Daten ausgesetzt?
5.    Welches Ausmass an Schutzbedarf ergibt sich daraus?
6.    Wo liegen diese Daten und wer hat möglicherweise den Zugriff darauf?
7.    Welches Verschlüsselungsverfahren deckt den Schutzbedarf optimal ab?
8.    Welche zusätzlichen Fähigkeiten und Kapazitäten muss ich im Betrieb aufbauen?
9.    Welche Abhängigkeiten entstehen zu den Lieferanten der Lösungen? 
10.    Welche Vorkehrungen muss ich für den Not- und Krisenfall treffen?
11.    In welchem Verhältnis stehen Kosten und Nutzen der bevorzugten Lösung?

Fazit 

Der Datenschutz umfasst alle Massnahmen zur Verhinderung einer unerwünschten Bearbeitung von Personendaten und schützt nur diese. Darüber hinaus gibt es noch Sachinformation, die nicht durch datenschutzrechtliche Bestimmungen geschützt werden, da sie keine Personendaten sind. Dennoch können diese aus Sicht des Unternehmens schutzwürdig sein. Zu diesen Sachinformationen gehören z. B. Geschäftsgeheimnisse, Rezepturen, Fertigungs- und Konstruktionsdaten oder Strategien.

Mit dem Einsatz von Verschlüsselungstechnologien wird nicht nur dem Datenschutz Rechnung getragen, indem eine geeignete technische Massnahme umgesetzt wird, sondern als Synergieeffekt können damit auch andere sensitive Sachinformationen des Unternehmens geschützt werden.
 

Möchten Sie keinen Blogartikel verpassen? Abonnieren Sie hier unseren Blog.